テレビCM
SKYSEA Client Viewコラム近年、ソフトウェアのライセンス監査を受ける機会は確実に増えています。欧米でのライセンス監査は日本よりもかなり一般化しており、今後日本でも監査を受ける機会は、さらに増えると予想されます。これらの状況からも、ライセンス監査に対する正しい理解は非常に重要であり、その対策も喫緊の課題と言えます。
はじめに
「ソフトウェアを利用する」とは、「メーカー側による指定条件の範囲内で使用することができる権利=ライセンス」を購入し、「その範囲内で使用する」ということです。正しい理解の第一歩として、このことをあらためて認識することが重要です。多くの商用ソフトウェアのライセンス、特に大手メーカー系では、その指定された利用条件を、ユーザーが遵守しているか否かをメーカー側が確認できる権利、いわゆる「監査権」が付帯しています。調達しているライセンス契約の「監査権」(多くの場合、監査権という直接的な文言ではなく、「利用の確認」や「遵守状況の確認」という項目名になっています)を確認し、どのような義務が設定されているかを、あらかじめ理解しておくことをお勧めします。
ライセンス管理がうまくいかない原因の一つとして、ソフトウェアという「目には見えにくいもの」「複製がある程度容易にできてしまうもの」が、指定条件内で正しく使用されているかを確認しにくい点があると思います。その結果、意図せず知らず知らずのうちに、「一部のライセンスは余剰し、一部のライセンスは不足している」という状態が、多くの組織で発生しています。特に、「うちはISMS認証を取っているから」「うちは性善説の組織なので」「うちは重要顧客だから」と安心してしまうことで、実際に正しい管理を行っていない場合、結果的に組織にとって非常に大きな痛手となるケースも少なくありません。【図1】
ライセンス監査対策について
ライセンス監査対策で一番重要な点は、「ライセンス監査を受けないこと」です。これはもちろん、監査レターが来ても無視したり、断ったりすることではなく、メーカーや著作権者保護団体※が監査レターを送る理由をあらかじめなくしておく、という意味です。不特定多数にランダムで監査レターを送る場合もあるかもしれませんが、通常考えられるのは、やはり特定の組織に対して監査レターを送る方法です(具体的にどのような点に注意するべきかについては、別途ご相談いただければと思います)。ライセンス監査を受けないために重要なのは、ソフトウェア資産管理や最低限のライセンス管理を導入し、正しい運用サイクルを維持することで、ライセンスの利用と保有に差分が発生したとしても、運用のなかで再割り当てや調達を行い、常に適正な状態を保持していくことです。この状態を保持することにより、監査レターを受領する確率を最大限に下げ、また、万一監査レターを受領したとしても、正しく運用されている管理台帳から必要な情報を提供して監査を完了することが可能になります。
※著作権者保護団体:ソフトウェアを開発販売しているメーカー側の権利を保護するため、各種の啓蒙活動や、不正利用についての内部通報受付窓口を設けている団体
ライセンス監査レターを受け取ってしまったら?
筆者の経験上、ライセンス管理の導入と運用により、ライセンス監査を受けない体質の組織状態を保持することを強くお勧めします。しかし、万一監査レターを受け取ってしまった場合は、最低限の点【図2】を確認することが必要です。
【図2】のポイントを中心に、まずは監査レターの中身をしっかりと確認し、理解することが重要です。その内容によって必要な対応も異なりますし、何より重要な点としては、冷静にそのライセンス監査レターを理解し、組織に対してのリスクを正しく把握しつつ、適切な対応を検討する、ということです。監査レターを無視したり、焦ってライセンスを購入するといったことはせず、冷静にビジネス的な対応をとり、必要な交渉を行うことによって、組織のリスクをコントロールすることが重要と考えます。
不明な点があれば、直接レターの送付元に確認するのもよいですが、リスクが判断できないケースや、何らかの不安な点があれば、ライセンスやライセンス監査対策の専門家に相談することもお勧めします。
(「SKYSEA Client View NEWS vol.35」 2014年3月掲載)
